Trojan ( 005504611 )

<< Back to Top Threats

K7 Detection Name	Affected OS	Prevalence	AV Definition Version
Trojan ( 005504611 )	Windows	Low	12.219.54859

MD5	80654c0a0503c8ea8c9393c303a06e01
SHA256	9b4cb2183d9378b910f9503ec4406699a9d3b2fdfd4b0ab507110747ba0b9932
File Size	94,890 bytes
Packer Information	N/A
First Seen	18-02-2025
Last Seen	21-02-2025
Aliases	Win32/ClipBanker.JB

Behavior Details

1. Dropped files:
dllhost.exe
Under the folder
C:\Users\\AppData\Local\Temp\1de9ca8

2. Dropped files:
lpxwp.tmp
yfygykxhi.rtf
benmhg.tmp
Under the folder
C:\Users\\AppData\Local\Temp

3. Creates Registry:

Adds registry data
C:\Users\\AppData\Local\Temp\1de9ca8\dllhost.exe:*:Enabled:ipsec

Under the key:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Users\John\AppData\Local\Temp\1de9ca8\dllhost.exe

Adds registry data
F\x00\x00\x00
\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00 \xffvVm\x89\xd9\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x02\x00\x00\x00\xc0\xa8zQ\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00

Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

Adds registry data
1

Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecisionReason

Adds registry data
\xc2u.\xc8\x03\x87\xdb\x01

Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecisionTime

Adds registry data
0

Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecision

Adds registry data
Network

Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{D1E6D7DB-941E-426B-A649-64CF5F7E69FB}\WpadNetworkName

Removal Instructions

1. Update the copy of K7 security to the latest version.
2. Scan the system completely and remove the detected files.
3. Open Windows registry editor.
4. Delete the registry data
C:\Users\\AppData\Local\Temp\1de9ca8\dllhost.exe:*:Enabled:ipsec

Under the key:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Users\John\AppData\Local\Temp\1de9ca8\dllhost.exe

5. Delete the registry data
F\x00\x00\x00
\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00 \xffvVm\x89\xd9\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x02\x00\x00\x00\xc0\xa8zQ\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00

Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

6. Delete the registry data
1

Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecisionReason

7. Delete the registry data
\xc2u.\xc8\x03\x87\xdb\x01

Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecisionTime

8. Delete the registry data
0

Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecision

9. Delete the registry data
Network

Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{D1E6D7DB-941E-426B-A649-64CF5F7E69FB}\WpadNetworkName
10. Close the Windows registry.
11. Restart the machine.